Nätverksteknik A - Introduktion till VLAN

Föreläsning 7 Nätverksteknik A - Introduktion till VLAN Lennart Franked Information och Kommunikationssystem (IKS) Mittuniversitetet 2014-11-26 Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 1 / 37

Innehållsförteckning 1 Introduktion till VLAN 2 Glosor 3 Virtuellt LAN Introduktion VLAN 4 VLAN Trunk VLAN Trunk DTP 5 Problem VLAN Problem VLAN 6 Säkerhet VLAN Attacker mot VLAN 7 Guidelines VLAN Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 2 / 37

Glosor Ingress Egress Runts Giants Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 3 / 37

Bakgrund Introduktion Tidigare konstellationer av nätverk. Koaxialnätverk, En lång gul trädgårdsslang. Alla som fysiskt satt tillsammans tillhörde samma nätverk. Introduktion av hubbar och switchar. Förenklade möjligheten att dela upp en organisation i flertalet LAN. K LAN, K switchar Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 4 / 37

Syfte med VLAN Introduktion Varför dela upp ett LAN? Prestanda Minska broadcast trafik Säkerhet Figur 1: Fysiskt separerade nätverk Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 5 / 37

Syfte med VLAN II Introduktion Är detta skalbart? Organisationer växer, nya kontor och byggnader läggs till. Svårt att administrera genom att fysiskt separera avdelningarna. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 6 / 37

Syfte med VLAN III Introduktion Virtuella LAN tillåter oss att logiskt separera LAN. Figur 3: Växande organisationer Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 7 / 37

Syfte med VLAN IV Introduktion Figur 4: Växande organisation med VLAN Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 8 / 37

VLAN typer VLAN VLAN kategoriseras oftast in i grupper om funktion. Default VLAN Det VLAN som alla portar tilldelas som standard. VLAN1, Går ej att modifiera. Black Hole VLAN Dummy VLAN for ej använda portar. Data VLAN Användargenererad data. IP-telefoni, data Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 9 / 37

VLAN typer II VLAN Administrations VLAN Används för att administrera nätverket. Native VLAN Används för bakåtkompabilitet i trunk-länkar. Endast användbart om switchar utan VLAN-stöd används i nätverket. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 10 / 37

VLAN identifikation VLAN Normal rymd 1 to 1005 1002 till 1005 reserverad för Token Ring och FDDI VLAN 1, 1002-1005 skapas som standard och går ej att ta bort. Utökad rymd 1006 to 4094 Stöds enbart fullt ut i VTPv3. VTPv1 och v2 Switchar stödjer enbart den utökade rymden av VLAN om switcharna är satta i transparent mode. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 11 / 37

VoIP VLAN mls qos Aktivera QoS för switchen mls qos trust cos Lita på Class of Service värden. switchport voice vlan # Ange voice VLAN ID switchport access vlan # Ange data VLAN ID Figur 5: VLAN taggning i VoIP telefon[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 12 / 37

VLANs i ett nätverk bestående av flera switchar VLAN Trunk VLAN med enbart en switch är enkelt. Vad händer om man involverar fler? Figur 6: En länk per VLAN[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 14 / 37

Trunk VLAN Trunk Dela en gemensam länk för flera VLAN Varje ram måste innehålla information om VLAN tillhörighet. Tunneling Inter-switch Link (ISL) Ny Ethernet header IEEE 802.1Q Figur 7: VLAN trunking[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 15 / 37

Inter-switch link VLAN Trunk DA - Destination Multicast adress. Type - Typ av inkapslat datalänksprotokol. User - Prioritet. SA - MAC källadress från den sändande switchporten. LEN - Längden av den inkapslade ramen. SNAP - Innehåller information angående ramtyp. HSA - High Bits of Source Address. Tillverkare av interfacet som skickar ramen. Must be Cisco Systems, Inc. VLAN - Innehåller VLAN ID. BPDU - Anger om det inkapslade paketet är en BPDU eller CDP ram. Index - Source port Index (Unikt ID för porten). Reserved - Reserverat 16 bit fält, Används vid Token Ring eller FDDI. Encapsulated frame. Frame Check Sequence. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 16 / 37

IEEE 802.1Q VLAN Trunk Hur lägger man till VLAN-information i en Ethernet-header utan att byta ut samtliga Ethernet-nätverkskort. 1998 IEEE gjorde det otänkbara och bytte ut headern för Ethernet. Enbart switchar behöver använda denna information. Inte slutnoderna. Prioritetsfält 3 bit fält, tillåter möjlighet att prioritera ramar. Figur 9: IEEE 802.1Q header Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 17 / 37

IEEE 802.1Q II VLAN Trunk Canonical Format Indicator Ursprungligen för att ange om MAC adressen vad given i big eller little endian. Används för att vidarebefordra Token Ring. VLAN ID Figur 10: IEEE 802.1Q header Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 18 / 37

Switchport typer VLAN Trunk Access port En switchport som tillhör ett VLAN. Trunk port En port som stödjer flera VLAN. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 19 / 37

Dynamic Trunking Protocol (DTP) DTP Cisco proprietärt protokoll Skickar periodiska DTP ramar till direkt anslutna portar. Varje interface kan befinna sig i ett av fyra tillstånd. Dynamic Auto Dynamic Desirable Trunk Access Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 20 / 37

Dynamic Trunking Protocol (DTP) II DTP Avaktivera DTP DTP avaktiveras med hjälp utav: switchport nonegotiate DTP status För att kolla vilket DTP tillstånd ett interface befinner sig i använder man: show dtp interface Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 21 / 37

Dynamic Trunking Protocol (DTP) III DTP Dynamic Auto Dynamic Desirable Trunk Access Dynamic Auto Access Trunk Trunk Access Dynamic Desirable Trunk Trunk Trunk Access Trunk Trunk Trunk Trunk Access Access Access Access Figur 11: DTP tillstånd[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 22 / 37

Skapa ett VLAN DTP Figur 12: Skapa ett VLAN[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 23 / 37

DTP Figur 13: Bekräfta VLAN[1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 24 / 37

Konfigurera switchportar DTP Konfigurera trunk Switch ( config )# interface fastethernet 0/1 Switch ( config - if )# switchport trunk encapsulation dot1q Switch ( config - if )# switchport mode trunk Switch ( config - if )# switchport trunk native vlan 1 Konfigurera VLAN Switch ( config )# interface fastethernet 0/2 Switch ( config - if )# switchport mode access Switch ( config - if )# switchport access vlan 2 Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 25 / 37

Vanliga problem för VLAN Problem VLAN Logiska nätverk. VLAN lager 2 Subnät lager 3. Tilldelar varje VLAN ett eget subnät. Kommunikation mellan subnäten. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 27 / 37

Vanliga problem för VLAN II Problem VLAN Flera inblandade switchar och VLAN. Om inget protokoll som delar VLAN-information används (VTP). Ej korrekt konfigurerad trunk. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 28 / 37

Switch spoofing VLAN Hopping Standard DTP läge på ett interface är dynamic auto. Möjliggör för en nod att skicka ett DTP trunk paket. Trunklänk kopplas till noden och ger access till alla VLAN. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 30 / 37

Double-Tagging Attacker mot VLAN Double-Tagging Attacken är kopplad till hur avkapslingen utav 802.1Q ramar sker. En switch plockar endast bort ett lager. En switch taggar inte heller om Native VLAN. Ypperligt smidigt att då kapsla in ramen i ytterliggare en 802.1Q header med samma id som native. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 31 / 37

Double-Tagging Attacker mot VLAN Figur 14: Exempel Double-Tagging [1] Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 32 / 37

PVLAN Edge Skyddad port / Protected port. Endast lokal företeelse. Utbyter enbart information med oskyddade portar. Kommunikation mellan skyddade portar är ej tillåtet. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 33 / 37

PVLAN Edge II Attacker mot VLAN Konfigurera PVLAN Edge Switch ( config )# interface fastethernet 0/2 Switch ( config - if )# switchport protected Bekräfta PVLAN Edge Switch # show interface fastethernet 0/2 switchport Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 34 / 37

Design Guidelines Guidelines VLAN Flytta alla portar från default VLAN till ett black hole. Slå av ej använda portar. Dela upp administration och användarnät. Använd ett VLAN som ej är VLAN1 för administration. Slå av DTP. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 36 / 37

Referenser Scott Empson och Cheryl Schmidt. Routing and Switching Essentials Companion Guide. Cisco Press, 2014. isbn: 978-1-58713-320-6. Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion till VLAN 2014-11-26 37 / 37